Geht Großbritannien jetzt, oder bleibt es doch in der Europäischen Union (EU)? Im Augenblick weiß das niemand. Und genau das macht Schwierigkeiten – auch im Datenschutz. Jedes Unternehmen muss damit irgendwie umgehen. Ein Patentrezept gibt es nicht.
Aufgeschoben, nicht aufgehoben
Im Augenblick ist der Brexit aufgeschoben. Der 31.10.2019 wurde Mitte April zwischen Großbritannien und den anderen Mitgliedstaaten der Europäischen Union als spätester Austrittstermin vereinbart. Wohlgemerkt: als spätester Termin. Sollten sich Großbritannien und die EU schneller einigen, bleibt ein Austritt auch schon vorher möglich. Damit ist nach wie vor alles offen. Genau dies macht Unternehmen eine Vorausplanung so gut wie unmöglich. Je nach weiterer Entwicklung können daher kurzfristige Reaktionen erforderlich sein.
Variante 1: geordneter Brexit
Für alle Beteiligten am besten wäre es, wenn es noch zu einem Abkommen über einen geordneten Brexit kommt. „Geordnet“ würde dabei heißen, dass es eine einvernehmliche Vereinbarung über den Brexit gibt. In einem solchen Vertrag würden sich Großbritannien und die EU dann auch darüber verständigen, was im Datenschutz gilt. Vermutlich würde Großbritannien zusagen, auch künftig die Datenschutz-Grundverordnung (DSGVO) einzuhalten. Die EU wiederum würde erklären, dass damit im Datenschutz alles so weiterlaufen kann wie bisher gewohnt.
Bequemes Ergebnis
Das würde bedeuten: Der Austausch personenbezogener Daten mit Unternehmen in Großbritannien ließe sich einfach wie gewohnt fortführen. Besonderer Handlungsbedarf für Unternehmen bestünde nicht.
Variante 2: harter Brexit
Es kann aber auch ganz anders kommen. Angenommen, Großbritannien und die EU trennen sich im Streit und können sich nicht auf ein Abkommen einigen. Dann würde Großbritannien am 31.10.2019 automatisch aus der EU ausscheiden. Es wäre dann rechtlich so zu behandeln wie jeder andere Staat außerhalb der Europäischen Union. In der Sprache des EU-Rechts wäre es damit ein Drittstaat, also schlicht ein Nicht-Mitglied.
Gravierende Folgen
Das hätte gerade im Datenschutz gravierende Folgen. Unternehmen dürften personenbezogene Daten dann nur noch unter den Voraussetzungen nach Großbritannien übermitteln, die für eine Übermittlung in jeden anderen Drittstaat gelten, der nie EU-Mitglied war. Dies wäre ausgesprochen misslich. Denn die wirtschaftlichen Verflechtungen mit Großbritannien sind äußerst vielfältig und eng. Das ist eine Folge der jahrzehntelangen Teilnahme Großbritanniens am Binnenmarkt.
Situation betroffener Unternehmen
Innerhalb der gesamten EU dürfen personenbezogene Daten frei übermittelt werden, solange die Vorgaben der DSGVO eingehalten sind. Eine Übermittlung in einen Drittstaat setzt dagegen eine besondere Rechtsgrundlage voraus. Es ist Sache des Unternehmens, eine solche Rechtsgrundlage nachzuweisen. Die Folge: Für jede Datenübermittlung nach Großbritannien müsste geklärt werden, ob eine solche Rechtsgrundlage besteht. Welcher Aufwand damit verbunden ist, kann man sich leicht ausmalen.
Er würde vor allem die Abteilungen in den Unternehmen treffen, die solche Übermittlungen durchführen. Denn nur sie verfügen über die nötigen Informationen zu deren genauem Ablauf.
„Standarddatenschutzklauseln“ als Hilfe
Die meisten Unternehmen planen, bei einem harten Brexit Standarddatenschutzklauseln einzusetzen. Das sind offizielle Muster der EU für vertragliche Regelungen zum Datenschutz. Sie können bei der Datenübermittlung in Drittstaaten mit dem Vertragspartner im Drittstaat vereinbart werden. Der Vorteil dieser Klauseln: Sie lassen sich ohne besondere Genehmigung verwenden. Außerdem stehen sie in allen Amtssprachen der EU kostenlos zur Verfügung. Ihr Nachteil: Es kommt zu viel Schreibkram, der bisher völlig entbehrlich war.
Manche Unternehmen haben mit ihren Partnern in Großbritannien vorsorglich bereits entsprechende Vereinbarungen getroffen. Andere Unternehmen warten ab. Sie hoffen darauf, diesen Aufwand doch noch vermeiden zu können. Was der bessere Weg war, wird man erst im Nachhinein wissen, also zu spät.
Übersichten zur aktuellen Situation
Nahezu alle Unternehmen haben aus Vorsicht Übersichten dazu angefertigt, welche Datenübermittlungen nach Großbritannien stattfinden. Wer es noch nicht getan hat, wird dieses Thema in nächster Zeit angehen. Denn nur so ist es möglich, bei Bedarf kurzfristig zu handeln. Die Zuverlässigkeit solcher Übersichten steht und fällt mit der sorgfältigen Zuarbeit aus den Fachabteilungen.
Die Begeisterung über den Aufwand hält sich verständlicherweise in Grenzen. Er ist jedoch notwendig. Denn sonst drohen bei einem ungeordneten Brexit ernsthafte Beeinträchtigungen der Tagesarbeit im Unternehmen.